Chi utilizza assistenti di programmazione basati sull’intelligenza artificiale come Claude Code dovrebbe prestare molta attenzione a dove copia i comandi di installazione. Una nuova minaccia informatica sta circolando proprio sfruttando la fiducia degli utenti verso strumenti legittimi, e si chiama InstallFix: una tecnica subdola che replica fedelmente l’interfaccia di tool popolari per distribuire malware attraverso istruzioni di installazione fasulle.
Come funziona l’attacco e perché è così efficace
I ricercatori di Push Security hanno individuato versioni clonate della pagina ufficiale di Claude Code, l’assistente AI da riga di comando sviluppato da Anthropic. Queste copie sono praticamente indistinguibili dall’originale: layout identico, branding curato, testo coerente, barra laterale con la documentazione e persino un dominio che somiglia in modo impressionante a quello autentico. Tutti i link presenti nella pagina rimandano addirittura al sito reale di Claude Code. L’unico elemento malevolo è il comando di installazione, quella singola riga pensata per macOS, Windows PowerShell e Windows CMD. Basta copiarla e incollarla nel terminale per ritrovarsi con un software dannoso sul proprio dispositivo.
InstallFix è in sostanza una variante di ClickFix, una tattica di ingegneria sociale che sfrutta falsi messaggi di errore, CAPTCHA fasulli e prompt ingannevoli per convincere gli utenti a installare malware con le proprie mani. Una campagna simile aveva già colpito in passato tramite falsi installer chiamati OpenClaw. Lo schema attuale prende di mira sia utenti Windows che Mac con un infostealer noto come Amatera. Questo malware è in grado di raccogliere dati dal browser (password salvate, cookie, token di sessione, dati di autocompilazione, portafogli di criptovalute e credenziali di accesso) oltre a informazioni di sistema. Gli attaccanti, tra l’altro, riescono spesso a sfuggire ai controlli ospitando i siti malevoli su piattaforme legittime come CloudFlare Pages e Squarespace, il che rende tutto ancora più insidioso.
Come proteggersi da InstallFix e dalle pagine fasulle
Push Security ha scoperto che queste false pagine di installazione si diffondono principalmente attraverso il malvertising, cioè risultati sponsorizzati su Google che compaiono quando qualcuno cerca termini come “Claude Code”, “Claude Code install” o “Claude Code CLI”. Il consiglio più importante è non eseguire mai comandi copiati da email, forum, post sui social o siti web senza aver prima verificato in modo indipendente la loro legittimità.
Una buona pratica è nascondere i risultati sponsorizzati nella ricerca Google (basta scorrere oltre), così da ridurre il rischio di cliccare accidentalmente su un annuncio malevolo. Salvare nei segnalibri le fonti attendibili è un altro accorgimento semplice ma efficace, perché evita di dover passare ogni volta dalla ricerca. Infine, vale la pena esaminare con attenzione sia gli URL che i comandi stessi: gli autori di queste truffe usano trucchi per far sembrare legittimi gli indirizzi web a prima vista, ma guardando meglio le differenze saltano fuori. In alternativa, digitare manualmente i comandi (sempre e solo da fonti verificate) è il modo più sicuro per evitare di eseguire qualcosa di nascosto nel testo copiato.
